Introduction

La nouvelle « Politique relative aux données d’enregistrement » ou « Registration Data Policy » (RDP) de l’ICANN, entrée en vigueur le 21 août 2025, établit un cadre unique et cohérent au niveau mondial pour la collecte, le traitement, la publication et la divulgation des données d’enregistrement des noms de domaine par les bureaux d’enregistrement et les registres. Remplaçant les mesures temporaires liées au RGPD introduites en 2018, la RDP harmonise les pratiques de gestion des données pour l’ensemble des gTLD (domaines de premier niveau générique) et garantit leur conformité aux normes internationales de protection des données personnelles.

Elle clarifie les responsabilités des parties contractantes en matière d’exactitude, de sécurité et de responsabilité des données, tout en renforçant la transparence des demandes légitimes de divulgation, notamment grâce au Registration Data Request Service (RDRS), le nouveau système de l’ICANN pour l’accès au WHOIS des noms de domaine. Depuis 2018, l’accès à certaines données personnelles sont inaccessibles ou anonymisées dans le WHOIS des noms de domaines. En réponse à ces restrictions, le RDRS a été mis en place afin de permettre l’accès contrôlé et conforme au RGPD à certaines données masquées par le WHOIS. Le RDP est la première politique de consensus intégrant directement les principes de protection des données au sein de l’écosystème contractuel de l’ICANN.

Principales mesures de la Registration Data Policy

Bien que la politique soit détaillée et technique, plusieurs changements et obligations majeurs ont été introduits pour les registres et bureaux d’enregistrement.

Accords de protection des données et spécification de traitement

Les registres et bureaux d’enregistrement doivent, lorsque la législation locale l’exige, conclure des accords de protection des données afin de garantir la conformité de leurs traitements de données personnelles avec les réglementations applicables, notamment le RGPD.

La politique introduit également la Data Processing Specification (DPS), un cadre contractuel définissant les règles applicables au traitement des « données personnelles d’enregistrement » et les obligations des responsables de traitement indépendants définissant leurs obligations respectives et les conditions dans lesquelles les données peuvent être collectées, utilisées ou divulguées.

Collecte minimale et suppression de certains rôles de contact

La nouvelle politique impose un modèle fondé sur le principe du « jeu de données minimal ». Concrètement, les registres et bureaux d’enregistrement ne peuvent collecter et conserver que les données strictement nécessaires à la réalisation des opérations d’enregistrement et au respect des obligations légales.

Les rôles de contact administratif, technique et de facturation ne sont plus obligatoires pour la majorité des gTLD, seul le contact titulaire (registrant) demeurant obligatoire. Après l’entrée en vigueur de la politique, les bureaux d’enregistrement doivent donc supprimer les données associées à ces rôles secondaires.

Nom de l’organisation comme titulaire : reconnaissance de la propriété juridique

Désormais, lorsque le champ « Organisation / Société » est renseigné dans le contact titulaire, cette entité est désormais considérée comme le Registered Name Holder, autrement dit le propriétaire légal du domaine. Si ce champ est vide, la titularité revient à la personne physique identifiée. Cette clarification renforce la sécurité juridique et limite les litiges.

Critères de divulgation et services de répertoire d’enregistrement (RDDS)

La politique encadre plus strictement la divulgation de données d’enregistrement via les Registration Data Directory Services (RDDS). Elle fixe des critères précis conciliant transparence, vie privée et accès légitime aux données.

Elle révise également la procédure de gestion des conflits entre divulgation et législation sur la protection des données, tout en définissant les délais applicables aux demandes urgentes de divulgation légale.

Obligations de mise en œuvre et calendrier

Les registres et bureaux d’enregistrement devaient être entièrement conformes à la nouvelle politique au 21 août 2025. Durant la phase transitoire, du 20 août 2024 au 20 août 2025, ils pouvaient l’adopter partiellement ou conserver certains éléments du régime précédent. L’ICANN et les parties contractantes doivent désormais adapter leurs systèmes, procédures et politiques internes pour garantir une mise en œuvre cohérente et harmonisée à l’échelle mondiale.

Pour en savoir plus sur les stratégies de protection des marques en ligne et l’accompagnement que nous proposons face à ces évolutions du cadre ICANN, nous vous invitons à consulter la page dédiée du cabinet Dreyfus.

entree vigueur politique

Conséquences et défis pratiques

Ces évolutions impliquent une refonte technique et organisationnelle importante. Les registres et bureaux d’enregistrement doivent moderniser leurs systèmes pour intégrer le modèle de données minimal et supprimer les anciens rôles de contact.

Des ajustements contractuels avec les tiers seront nécessaires. Les prestataires externes intervenant dans la gestion des données, notamment ceux en charge des services WHOIS/RDAP, de la facturation ou de l’assistance client, devront être intégrés dans les accords de protection ou de traitement des données, conformément aux exigences de la Data Processing Specification (DPS).

Un risque accru d’erreurs de titularité existe : un titulaire renseignant par inadvertance le champ « Organisation » peut transférer la propriété juridique du domaine à une entité non souhaitée. Les bureaux d’enregistrement doivent donc informer et sensibiliser leurs clients à cette évolution.

La politique entraîne également une limitation accrue du marketing de données. L’accès en masse aux données d’enregistrement fait désormais l’objet de restrictions strictes. Les tiers souhaitant exploiter ces données doivent se conformer à la Registration Data Marketing Restriction Policy, qui impose des conditions d’usage précises et interdit tout traitement non autorisé à des fins commerciales.

Les demandes de divulgation doivent être justifiées et documentées, avec des délais précis de réponse, renforçant ainsi la traçabilité et la responsabilité des acteurs. Enfin, ICANN prévoit des contrôles et audits réguliers pour vérifier la conformité. Des mesures correctives ou des sanctions pourront être imposées en cas de non-respect.

Conclusion : les principales obligations au titre de la nouvelle Registration Data Policy (RDP)

La nouvelle Registration Data Policy (RDP) établit un cadre mondial unifié visant à renforcer la protection des données personnelles, la sécurité et la transparence.

Les principales obligations imposées aux registres et bureaux d’enregistrement sont les suivantes :

  • Gestion standardisée des données : collecte, traitement et publication conformes aux standards ICANN et au RGPD.
  • Publication limitée : seules les données non personnelles peuvent être rendues publiques via le WHOIS/RDAP.
  • Divulgation encadrée : toute demande d’accès doit être justifiée, documentée et traitée selon une procédure normalisée.
  • Exactitude et fiabilité : vérification et mise à jour régulières des données des titulaires.
  • Conservation et sécurité : protection et rétention des données pendant la durée minimale fixée par ICANN (en général deux ans).
  • Responsabilité et conformité : documentation, mesures techniques adaptées et coopération aux audits ICANN.
  • Transferts sécurisés : respect des protocoles ICANN pour toute mise à jour ou transmission.
  • Utilisation du RDRS : recours encouragé pour le traitement des demandes de divulgation.

La mise en œuvre de la RDP permet une gouvernance des données plus harmonisée et responsable. Les acteurs du secteur doivent désormais concilier conformité juridique, efficacité opérationnelle et respect de la vie privée. Une approche proactive, associant adaptation technique, révision contractuelle et formation, permettra de renforcer la confiance dans l’écosystème mondial des noms de domaine.

Le cabinet Dreyfus et Associés accompagne ses clients dans la gestion de dossiers de propriété intellectuelle complexes, en proposant des conseils personnalisés et un soutien opérationnel complet pour la protection intégrale de la propriété intellectuelle.

Le Cabinet Dreyfus et Associés est en partenariat avec un réseau mondial d’avocats spécialisés en Propriété Intellectuelle.

Nathalie Dreyfus avec l’aide de toute l’équipe du cabinet Dreyfus

FAQ

1. Pourquoi cette politique a-t-elle été adoptée ?
La RDP vise à garantir la conformité des pratiques d’enregistrement avec les législations sur la protection des données, notamment le RGPD, tout en maintenant la transparence nécessaire au fonctionnement de l’écosystème des noms de domaine. Elle établit un cadre unique de responsabilité, de sécurité et de transparence applicable à tous les opérateurs de registres et bureaux d’enregistrement.

2. La RDP a-t-elle un impact sur les litiges relatifs aux noms de domaine (UDRP, URS, etc.) ?Oui, indirectement. Les titulaires de droits ou leurs conseils peuvent rencontrer plus de difficultés à identifier rapidement un réservataire en raison du masquage des données personnelles. Toutefois, le RDRS est censé compenser cette limitation en offrant un canal structuré pour obtenir les informations nécessaires à la procédure.

3. Les autorités nationales (comme la CNIL en France) ont-elles encore un rôle à jouer ?
Oui. Même si la RDP fixe un cadre mondial, elle ne remplace pas les obligations imposées par les autorités nationales de protection des données. En cas de conflit d’interprétation, la législation locale prime, notamment dans l’UE où le RGPD reste le standard de référence.

4. La RDP a-t-elle un effet sur la transparence du WHOIS public ?
Oui, mais plus exactement elle redéfinit cette transparence. Les données brutes ne sont plus accessibles à tous ; elles sont désormais remplacées par un modèle d’accès sélectif et justifié. Cette évolution vise à protéger la vie privée sans nuire à la lutte contre les abus.

5. Quelles sont les prochaines étapes prévues après l’entrée en vigueur de la RDP ?
L’ICANN prévoit un bilan d’application au second semestre 2026. Ce rapport évaluera la cohérence mondiale du déploiement, les difficultés rencontrées par les registrars et les éventuelles révisions nécessaires, notamment sur le périmètre du RDRS et la compatibilité avec les réglementations régionales.